Przede wszystkim, wyjaśnijmy co to są dane osobowe i ich przetwarzanie.
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. (art. 6)
Przetwarzanie danych natomiast to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2).
Ustawa ma zastosowanie do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych; do podmiotów niepublicznych realizujących zadania publiczne; osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3).
Zatem każdy, kto spełnia powyższe warunki, jest obowiązany stosować się do przepisów Ustawy. Należy do nich również pracodawca, gdyż zatrudniając pracowników przetwarza dane osobowe.
Organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych są określani na potrzeby Ustawy jako Administrator danych osobowych (ADO).
A więc w rozumieniu Ustawy pracodawca jest także Administratorem danych osobowych i z tego tytułu ustawodawca nakłada na niego określone obowiązki.
1. Ochrona interesów osób, których dane dotyczą
Art. 26. Ustawy stanowi:
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25
Jak wynika z przywołanego przepisu, ADO ma obowiązek chronić interesy osób, których dane przetwarza i nie naruszać ich praw i wolności. Ochrona taka polega nie tylko na gromadzeniu danych w celu dokumentowania stosunku pracy, ale również dbanie o to, aby przetwarzane były jedynie dane niezbędne, poprawne i adekwatne do celów.
Art. 23 Ustawy wskazuje zakres prowadzenia dokumentacji związanej z zatrudnieniem:
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Ustawodawca nie podaje nam instrukcji wprost, ale wyraźnie wskazuje, że pracodawca ma prawo przetwarzać tylko te dane, które są niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a więc w przypadku stosunku pracy mają zastosowanie przede wszystkim: Kodeks pracy, Ustawa o systemie ubezpieczeń społecznych, Ustawa o podatku dochodowym od osób fizycznych.
Art. 221. § 1 Kodeksu pracy zezwala pracodawcy na żądanie od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: imię (imiona) i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia.
§ 2. dodaje również inne dane osobowe pracownika, a także imiona i nazwiska oraz daty urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, oraz numer PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
[page_break]
Warto zwrócić uwagę, że Ustawa i Kodeks pracy maja zastosowanie również w procesie rekrutacji. Pytania zadawane osobie ubiegającej się o zatrudnienie w czasie rozmowy kwalifikacyjnej nie powinny wykraczać poza obszar związany z zatrudnieniem. Niedopuszczalne jest np. pytanie o stan cywilny czy rodzinny.
Gromadząc dane należy pamiętać, że nie wszystkie informacje mamy prawo przetwarzać. Ustawodawca zwraca szczególną uwagę na tzw. dane wrażliwe i reguluje je w art. 27:
1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Warto zatrzymać się dłużej w tym miejscu, aby wyjaśnić, że stosowanie przepisu art. 27 ustęp 2, który dopuszcza przetwarzanie danych wrażliwych, jeżeli osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, nie jest nieograniczone.
GIODO stoi na stanowisku, iż zgoda na przetwarzanie danych osobowych wykraczających poza katalog wymienionych w Kodeksie pracy, musi być wyrażona w sposób dobrowolny. NSA poparł to stanowisko w wyroku z dnia 1 grudnia 2009r. (sygn. akt I OSK 249/09) uznając, że wyrażona na prośbę pracodawcy pisemna zgoda pracownika na pobranie i przetwarzanie jego danych osobowych, narusza prawa pracownika i swobodę wyrażenia przez niego woli.
NSA podkreślił, iż „brak równowagi w relacji pracodawca pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetwarzanie danych osobowych (biometrycznych). Z tego względu ustawodawca ograniczył przepisem art. 22 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika. Uznanie faktu wyrażenia zgody na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, jako okoliczności legalizującej pobranie od pracownika innych danych niż wskazane w art. 22 Kodeksu pracy, stanowiłoby obejście tego przepisu”.
Doskonałym przykładem, na którym warto opierać się mając wątpliwości przy gromadzeniu danych osobowych pracownika, jest kopia dowodu osobistego.
Pracodawca może przetwarzać jedynie część danych w nim zawartych, gdyż przepisy nie przewidują podstawy dla domagania się od pracownika podania takich informacji jak: nazwisko rodowe, płeć, termin ważności dowodu, podpis, zdjęcie oraz stan cywilny (który można wywnioskować z nazwiska rodowego), czyli dane o których mowa w art. 27 ust. 1 Ustawy o ochronie danych osobowych.
W praktyce przyjęło się już, że kopii dowodu osobistego nie przechowuje się w teczce pracowniczej. Dokument tożsamości ma służyć jedynie potwierdzeniu danych zawartych w oświadczeniu pracownika: art. 221§ 3. Kodeksu pracy stanowi, że udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w art. 221 § 1 i 2 Kodeksu pracy.
A więc, gromadząc dane pracownicze należy zwracać uwagę, czy nie naruszamy przepisu art. 27 ustawy o odo i nie przetwarzamy danych wrażliwych.
[page_break]
2. Informowanie
Z aktami pracowniczymi w pewnym zakresie łączą się art. 24 i 25 Ustawy, które nakładają na pracodawcę-ADO tzw. obowiązek informacyjny: Art. 24 stanowi:
1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3) prawie dostępu do treści swoich danych oraz ich poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
W praktyce stosuje się oświadczenie zawierające ww. informacje, które po podpisaniu przez pracownika przechowywane jest w teczce osobowej.
Natomiast art. 25 dotyczy sytuacji, kiedy informacje uzyskane są nie od osoby, której dotyczą. Wówczas administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, poza tym o czym mowa w art. 24, jeszcze np. o źródle danych.
Pracodawcy coraz częściej korzystają z usług wyspecjalizowanych biur czy ośrodków w zakresie prowadzenia spraw pracowniczych i płacowych. Aby takie usługi mogły być wykonane, podmiot usługowy musi uzyskać określone dane. Wśród nich, oczywiście, dane osobowe pracowników.
Takie przekazanie danych określone zostało w Ustawie jako powierzenie przetwarzania danych i reguluje je art. 31:
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
W przypadku powierzenia danych pracowniczych w celu prowadzenia dokumentacji pracowniczej i płacowej pracodawca nie przestaje być administratorem danych i musi wywiązywać się z obowiązków na niego nałożonych, a więc nadal musi on dbać o interesy osób, których dane dotyczą poprzez np. kontrolowanie wykonywania usług czy zabezpieczenie procesu przekazywania danych.
Mimo istnienia umowy o świadczenie usług opartych o dane osobowe, na pracodawcy nadal ciąży obowiązek informacyjny.
3. Fizyczna ochrona danych
Art. 36. 1.: Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Pracodawca musi więc ocenić zagrożenia i zastosować takie fizyczne zabezpieczenia, aby dane były bezpieczne. Najważniejsze to zabezpieczenia przeciwpożarowe i wstęp do obszaru przetwarzania danych.
4. Prowadzenie dokumentacji
Art. 36. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Pracodawca-ADO przygotowuje dokumentację czyli tzw. politykę bezpieczeństwa danych osobowych, w której opisuje wszelkie środki techniczne (zabezpieczenia, monitoring, szafy, klucze, ochrona przeciwpożarowa) oraz organizacyjne (wstęp do obszaru przetwarzania danych, upoważnienie osób do przetwarzania określonego zakresu danych i ewidencja osób upoważnionych). Należy opierać się na Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych (Dz U 2004 nr 100, poz. 1024), które określa sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
[page_break]
5. Kontrola
W kolejnym, 37 artykule, Ustawa wskazuje, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych, a w art. 38, że Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39 daje konkretne wskazówki, jak wywiązać się z powyższych obowiązków:
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Podsumowując zwróćmy uwagę, że celem głównym ochrony danych osobowych jest chronienie interesów osób, których one dotyczą. Same dane osobowe to przecież jedynie ciągi znaków, jednak z ich pomocą można odnaleźć, czyli zidentyfikować osobę – człowieka, który ma życie prywatne, emocje, uczucia, tajemnice, czyli to wszystko na co zwraca uwagę art. 27 (dane wrażliwe) i co każdy z nas pragnie chronić i zachować dla siebie i swoich bliskich.
Przygotowanie dokumentacji (polityki) jest ogromnie czasochłonnym procesem, jednak każdy pracodawca powinien taki opis środków i procesów przetwarzania posiadać oraz stosować opisane zabezpieczenia, które muszą odpowiadać warunkom określonym przez ustawodawcę.
Z praktycznego punktu widzenia jest to bardzo przydatne opracowanie. Z jednej strony opisane są w nim te środki, które już mamy, z drugiej strony mamy możliwość udoskonalenia zabezpieczeń czy wprowadzenia w życie nowych bezpieczniejszych zasad dostępu do obszaru przetwarzania jak i do samych danych osobowych.
Pamiętajmy, że każdy z nas jest osobą, której dane osobowe są przetwarzane.
Beata Spychała, Ekspert ds. kadr i płac w Kancelarii PKF Consult Sp. z o.o. |